一个phper 预防xss攻击的基本手段
<?phpheader("set-cookie:cookie1=test1");header("set-cookie:cookie1=test1;httponly",false);?><script>alert(document.cookie);</script>只会 显示 cookie=test1对于php5 setcookie("abc","test",null,null.null,null.null,TURE);//最后一个参数
2,检查输入,检查输出(富文本编辑器)
用htmltntities() ,htmlspecialchars()处理 !
对于输入多使用白名单原则来做判断
同时在js代码中用 JavascriptEncode做转码处理